Aktuální verze z 9. 11. 2019, 02:00

[editovat] Základní info k SH WiFi

• SSID: SiliconHill
• zabezpečení: WPA2-podnikové, AES
• ověřování: PEAP
• uvěření certifikátu:

* u serveru: ldap.sh.cvut.cz
* Certifikát: DigiCert Assured ID Root CA

[editovat] HOWTO pro uživatele

Nejprve se zaregistrujte u svého registrátora - zadáte mu MAC adresu svého zařízení, které chcete připojit k wifi!

Přihlašovací údaje jsou stejné jako do http://is.sh.cvut.cz.

[editovat] Jak nastavím WiFi připojení na Windows 10?

1. Odstraníme starý profil sítě SiliconHill.
   1. Klávesovou zkratkou Win+i se dostaneme do nastavení.
      
   2. Přejdeme do menu Síť a internet > WiFi, kde vybere Spravovat známé sítě.
      
   3. V seznamu vybereme SiliconHill a klineme na tlačítko Odebrat.
      
2. Vytvoříme nový profil WiFi sítě.
   1. Klávesovou zkratkou Win+r otevřeme okno Spustit, zadáme control a potvrdíme enterem.
      
   2. V ovládacích panelech otevřeme Centrum síťových připojení a sdílení.
      
   3. Teď klikneme na Nastavit nové připojení nebo síť.
      
   4. V dialogovém okně vyplníme Název sítě: SiliconHill a vybereme Typ zabezpečení: WPA2-podnikové a pokračujeme stiskem Další.
      
3. Nastavíme parametry zabezpečení sítě.
   1. Klikneme na Změnit nastavení připojení.
      
   2. Přejdeme na záložku Zabezpečení a klikneme na tlačítko Nastavení.
      
   3. Zaškrtneme Připojit k těmto serverům a do políčka napíšeme ldap.sh.cvut.cz, ze seznamu s názvem Důvěryhodné kořenové certifikační autority vybereme DigiCert Assured ID Root CA a vše potvrdíme tlačítkem OK.
      
   4. V předchozím dialogovém okně vybereme Upřesnit nastavení.
      
   5. V novém dialogovém okně zaškrtneme Zadejte režim ověřování, z rozbalovacího menu vybere Ověření uživatele a klikneme na Uložit přihlašovací údaje.
      
   6. Ve vyskakovacím okně vyplníme přihlašovací údaje shodné s IS.sh.cvut a potvrdíme tlačítkem OK.
      
   7. Potvrdíme všechna dialogová okna tlačítkem OK. Zbyde nám toto okno:
      
4. Připojíme se na WiFi síť, pokud se nedaří připojit, vrátíme se do kroku 3 a zkusíme zkontrolovat všechna nastavení a především heslo.

[editovat] Jak nastavím WiFi připojení v mobilním telefonu s OS Android?

Nastavte Metoda EAP na PEAP, Ověření PHASE 2 na MSCHAPV2, vyplňte jméno (Identita) a heslo, které je stejné jako do IS.sh.cvut.

Před připojením je ještě nutné vyplnit pole Certifikát CA, existují 3 možnosti:

• Použít certifikáty systému (od Android 8.0 by to mělo fungovat, pro jistotu je možné najít seznam nainstalovaných certifikátů podle tohoto návodu (sekce Práce s certifikáty CA (důvěryhodná pověření)), v seznamu musí být DigiCert Assured ID Root CA). Do pole doména vyplňte ldap.sh.cvut.cz.
• Nainstalovat si certifikát ze stránek certifikační autority https://www.digicert.com/digicert-root-certificates.htm a podle návodu nainstalovat. Potom se certifikát zobrazí v menu názvem, který jste pro něj během instalace zvolily. Do pole doména vyplňte ldap.sh.cvut.cz.
• NEZABEZPEČENÁ VARIANTA - Neověřovat certifikát nebo (neurčeno), parafrázuji https://man.fit.cvut.cz/ict/eduroam/: "Pokud při ručním nastavení neuvedete jméno radius serveru nebo vypnete ověřování jeho certifikátu, může vám vaše přihlašovací údaje někdo zkopírovat a vydávat se za vás! Pokud vám váš operační systém neumožnuje tyto parametry nastavit, není možné se z něj bezpečně k SiliconHill wifi připojovat."
  

[editovat] Android 10 (randomizace MAC adres)

Android 10 má defaultně nastavenou randomizaci MAC adres (jako Windows 10). Podle všeho tato možnost jde zapnout i u Android 9 v developer módu. Při zjišťování MAC bez připojení k wifi zařízení udává, že MAC bude vybrána náhodně. Při připojení pak dle nastavení, většinou tedy nějakou náhodně vygenerovanou. Dobré je, že randomizace jde vypnout/zapnout pro každou síť zvlášť.

Pro zjištění MAC zařízení je potřeba ho připojit k nějaké síti (např. SH_registrace) a následně v nastavení dané sítě vybrat "Použít MAC zařízení". Následně zobrazovaná MAC je již ta, co je potřeba zaregistrovat v ISu. Nyní lze již zařízení připojit k síti SiliconHill. Je však potřeba randomizaci MAC vypnout i pro tuto síť.

[editovat] Jak nastavím WiFi připojení v Linuxu pomocí Wicd?

Pro Wicd je nutné přidat encryption template pro wpa_supplicant, protože ve standardním nastavení není template pro WPA2 se šifrováním AES.

Nejdříve musíte najít, kde jsou ve vašem systému uloženy templaty Wicd. V Gentoo/Archu jsou v adresáři /etc/wicd/encryption/templates. Do souboru /etc/wicd/encryption/templates/peap-aes (můžete si ho pojmenovat jinak) uložíte následující text:

name = PEAP with AES/MSCHAPv2
author = Vojta Drbohlav
version = 1
require identity *Identity password *Password ca_cert *Path_to_CA_Cert
-----
ctrl_interface=/var/run/wpa_supplicant
network={
    ssid="$_ESSID"
    scan_ssid=$_SCAN
    proto=RSN
    key_mgmt=WPA-EAP
    eap=PEAP
    group=CCMP
    pairwise=CCMP
    identity="$_IDENTITY"
    password="$_PASSWORD"
    ca_cert="$_CA_CERT"
    phase1="peaplabel=0"
    phase2="auth=MSCHAPV2"
}

Nyní přidáte název souboru s templatem do seznamu aktivních templatů, tedy "peap-aes" do /etc/wicd/encryption/templates/active, a zrestartujete Wicd démona.

Nakonec už použijete svého oblíbeného Wicd klienta a nakonfigurujete SH síť. Identity (Username) a heslo je stejné jako do is.sh.cvut.cz a certifikát by měl být AddTrust_External_Root.pem, musíte zadat celou cestu k souboru s certifikátem (v Gentoo/Archu je to /etc/ssl/certs/AddTrust_External_Root.pem).

A teď už nezbývá nic jiného, než se připojit k síti.

[editovat] Web Wifi skupinky

K 17. 3. 2019 není web funkční.

WifiSH - Info - Vytvořeno za účelem informovat členy během testování nové Wifi na Bloku 9

[editovat] Web https://radius.sh.cvut.cz a https://radius2.sh.cvut.cz

K 17. 3. 2019 není ani jeden z webů funkční.

Na těchto stránkách nalezne uživatel log radius serveru za poslední den. Tento log je velice dobrou pomůckou při odhalování problémů s připojením. Dále pak jsou pro uživatele dostupné jeho vlastní accountingové statistiky. Na tento web se přihlašují uživatelé pomocí stejného uživatelského jména a hesla jako do wifi. Pozn.: Uživatel musí alespoň jedno registrované zařízení v oblasti su-sh-wifi, aby mu byl tento web zpřístupněn.

Původní stránky projektu Wifi/puvodni